Datenschutzbeauftragter und Sachverständiger für Datenschutz

Entgegen der landläufigen Meinung ist die Datenschutzgrundverordnung nicht nur für den Datenschutz im Online-Bereich einschlägig: Auch die analoge Verarbeitung von personenbezogenen Daten ist den Regelungen der europäischen Verordnung unterworfen und muss dementsprechend an den neuen Vorschriften ausgerichtet werden. Damit ist die DSGVO weit davon entfernt, ein reines Internet-Gesetz zu sein: Auch, wenn die Mehrzahl der erhobenen Daten sicher in digitaler Form erfolgt, sind auch Daten „auf Papier“ genauso geschützt wie die über eine Webseite abgefragten Informationen.

Dennoch sind Webseiten nach wie vor das Hauptaugenmerk von Datenschützern: Hier gab es in der Vergangenheit zu viele Möglichkeiten, den Schutz von persönlichen Informationen vollkommen außer Acht zu lassen – und damit etliche Ansatzpunkte, um einen funktionierenden Datenschutz innerhalb der EU anzuregen.

Welche Webseiten sind von der DSGVO betroffen?

Die Datenschutzgrundverordnung betrifft fast alle Webseiten: Lediglich Webseiten, die ausschließlich und rein privat sind und keinen kommerziellen Zweck verfolgen, sind von den Regelmechanismen der DSGVO nicht betroffen. Hier sind aber strenge Maßstäbe anzulegen: Bereits eine Homepage mit Werbebanner oder ein Blog, der Kooperationen mit Firmen eingeht, gelten nach richtiger Auffassung als kommerzielle Webseite.

Wenn Ihre Seite von der DSGVO betroffen ist, dann sollten Sie folgende Maßnahmen umsetzen (bzw. bereits umgesetzt haben):

  • Verschlüsselung
    Eine verschlüsselte Seite entspricht nicht nur den Anforderungen der DSGVO – sie zeigt auch Ihren Usern, dass das Thema Datenschutz in Ihrem Unternehmen einen hohen Stellenwert einnimmt. Dies gilt ganz besonders dann, wenn Sie über Ihre Webseite personenbezogene Daten sammeln – zum Beispiel über Kontaktformulare oder über eine Newsletteranmeldung. Webseitenadressen, die verschlüsselt sind, erkennen Sie in Ihrem Browser an dem vorgestellten https – es steht für Hypertext Transfer Protocol Secure und bezeichnet eine Methode, um die Vertraulichkeit der Datenübertragung zu gewährleisten.
  • Aktuelle Datenschutzerklärung
    Die Datenschutzerklärung, die Sie auf Ihrer Webseite benutzen, sollte DSGVO-konform sein. Das bedeutet, dass Sie den zusätzlichen Anforderungen, die die Datenschutzgrundverordnung stellt, entsprechend nachkommen. Dazu gehören zum Beispiel umfangreiche Auskunftspflichten darüber, welche Daten wie und vor allem warum erhoben werden. Wichtig zu wissen: Wenn Ihre Webseite noch eine alte Datenschutzerklärung enthält, dann sollten Sie diese zeitnah einem Update unterziehen! Ansonsten liegt ein Verstoß gegen die Datenschutzgrundverordnung vor – und dieser kann entsprechend sanktioniert werden.
  • Kontaktformulare
    Die meisten kommerziellen Webseiten bieten über Formulare die direkte Kontaktaufnahme an. Das ist für User sehr praktisch und gehört seit Jahren zur Standardausrüstung von Internetauftritten großer und auch kleiner Firmen. Die Datenschutzgrundverordnung verlangt, dass Sie in Formularen nur noch die Daten abfragen, die Sie auch tatsächlich benötigen – es ist also nicht mehr erlaubt, ganze Datensammlungen anzulegen, die Sie für den konkreten Zweck gar nicht brauchen. Kontaktformulare sollten diesbezüglich überprüft und ggf. modifiziert werden.
  • Cookie-Information
    Die Mehrzahl der Webseiten nutzt Cookies, um Informationen lokal zu speichern. Cookies haben sich in der Vergangenheit als äußerst problematisch erwiesen, wenn es um den Datenschutz geht. Als Webseitenbetreiber sollten Sie vor dem Einsatz von Cookies die Einwilligung des jeweiligen Webseitenbesuchers einholen, um rechtlichen Problemen aus dem Weg zu gehen. Cookies sollten ebenfalls in Ihrer Datenschutzerklärung eine Erwähnung finden – wichtig dabei: Ein pauschaler Hinweis auf die Verwendung von Cookies ist dabei nicht ausreichend. Der Gesetzgeber verlangt hierbei vielmehr eine detaillierte Information darüber, welche Informationen wie lange durch die Cookies erhoben und gespeichert werden.
  • Social Media
    Sie nutzen auf Ihrer Homepage Videos von YouTube oder verknüpfen per Plugin Ihren Facebook-Account mit Ihrer Homepage? Dann müssen Sie auch hierbei auf eine DSGVO-konforme Verbindung achten: Social Media-Plugins sind seit jeher Kritikpunkt von Datenschützern, da sie in großer Menge Daten übertragen. Finden Sie keine Möglichkeit, eine rechtlich unbedenkliche Verknüpfung herzustellen, sollten Sie im Sinne des Datenschutzes darauf verzichten.

Neben den genannten Aspekten sind Webseitenbetreiber noch durch zahlreiche weitere Überlegungen in Punkto Datenschutz tangiert: Ob der Einsatz von Statistik-Tools oder die potenzielle Datenspeicherung durch den Hoster – hier sollten Sie sämtliche Abläufe einer genauen Prüfung unterziehen!

© 2019 Frank Hartung - Datenschutzbeauftragter und Sachverständiger für Datenschutz in Dessau-Roßlau